image

Terughacken door politie in strijd met mensenrechten

maandag 7 november 2011, 14:03 door Redactie, 14 reacties

De opsporingsmethode die de Nationale Recherche bij de aanpak van bet Bredolab-botnet hanteerde was in strijd met fundamentele mensenrechten en daardoor ongeoorloofd. Dat concludeert Merel Koning in haar scriptie over de 'terughack praktijk' van Justitie. Inmiddels is Koning werkzaam voor burgerrechtenbeweging Bits of Freedom. Uit haar onderzoek blijkt dat het het Openbaar Ministerie (OM) van de inmenging op het privacyrecht wist, terwijl de waarde van het Verdrag tot Bescherming van de Rechten van de Mens (EVRM) onderbelicht bleef.

Het OM ging uit van een privacy inmenging bij het terughacken naar de slachtoffers omdat "je iets stuurt naar iemand en een aantal van de geïnfecteerde computers zich in huizen zal bevinden. In ruimtes waar mensen onbevangen zichzelf moeten kunnen zijn. En als je mensen daar benadert kunnen ze op dat moment niet even onbevangen zichzelf zijn, want ze worden geconfronteerd met de politie en dat is een privacy schending."

Bevoegdheid
De beschermingsomvang van artikel 8 EVRM omvat niet alleen de woning maar ook het ICT-systeem. Bij het terughacken werd alleen naar de aard en onderzoekbijdrage van de bevoegdheid gekeken. "Het te verwachten effect van de bevoegdheid en van de inmenging had moeten worden meegewogen", stelt Koning.

Peter Zinn, senior advisor van THTC laat weten dat, ondanks de ontstane commotie rond de legitimiteit van het optreden bij de Bredolab ontmanteling, zijn team niettemin op de ingeslagen weg voortgaat "al mag het misschien niet van de rechter". Dat een zaak door dergelijke beslissingen kapot kan gaan neemt hij voor lief.

Privacy
Volgens Koning is in deze zaak zowel het privacyrecht van een grote groep slachtoffers als van de verdachte geschonden. "Het effect van deze privacyschending is van een andere aard dan het doorzoeken van een woning. Het is dan ook vreemd dat de analogie met huiszoeking wordt gemaakt om het terughacken te legitimeren." De eerste zou legitiem zijn en is met waarborgen omkleed, maar dat geldt niet voor het tweede.

Koning verwacht dat ook toekomstig optreden "evenmin zal plaatsvinden in lijn met de rechtstaatgedachte." Daarbij ziet ze ook een overeenkomst met de IRT-affaire en het doorlaten van drugs. In de voorbereiding op de ontmanteling van het botnet liet de THTC de botnetbeheerder belangrijke hoeveelheden malware op de bots plaatsen, waarbij niet werd ingegrepen. "Dit werd uitgesteld om een zo succesvol mogelijke ontmanteling te bewerkstelligen, waardoor de internationale internetgemeenschap de slagkracht van het THTC zou ervaren", concludeert Koning.

De IRT-affaire leidde uiteindelijk tot de implementatie van de Wet Bijzondere opsporingsbevoegdheden. In deze wet zijn een groot aantal opsporingstechnieken van een expliciet wettelijke bevoegdheid voorzien. Koning: "Mijns inzien is er geen aanleiding om in geval van cybercriminaliteit van rechtstatelijke beginselen af te wijken."

Reacties (14)
07-11-2011, 14:48 door Anoniem
Welke andere mening hadden we verwacht van BoF? Dit is er 1 van de stichting open deur.
De scriptie zelf is - ondanks het sexy onderwerp en de publiciteit die het via BoF krijgt - van matige kwaliteit. Niet alleen is een 'juridische analyse' op basis van veelal mediaberichten en niet de originele juridische stukken per definitie wankel, ook bestaat een deel van de analyse uit subjectieve oordelen.
Zo is het natuurlijk te zot voor woorden om de waarschuwing die het KLPD aan de geïnfecteerde PCs verspreid als een privacy-schending te kwalificeren omdat er 1 Duitser is die er op een forum over piept.

De conclusie dat 'terug-hacken' bij wet geregeld had moeten worden en dat dus nu sprake is geweest van schending van mensenrechten is erg gekleurd. Er had ook geconcludeerd kunnen worden - op basis van hetzelfde feitenmateriaal - dat de politie eindelijk iets effectiefs heeft gedaan in dit lastige domein en nog beter geholpen zou kunnen worden als ze hier een directe bevoegdheid voor zouden hebben ipv de nu gebruikte stapeling van verschillende bevoegdheden. Dat klinkt toch echt anders en doet meer recht aan de situatie

Wat ik bovendien mis - met name bij de conclusie dat de mensenrechten van de slachtoffers geschonden zouden zijn - is een analyse van de inzet van het handelen door de politie.Mijn analyse is dat ze met de beperkte middelen en mogelijkheden hun uiterste best hebben gedaan om het botnet te ontmantelen en de slachtoffers te waarschuwen en te faciliteren bij het verwijderen van de infectie op hun PC. De inzet was dus gericht op integer handelen.

Kortom, driewerf hulde voor het THTC

Alex
07-11-2011, 15:43 door Eerde
Ik zie het in een bredere context.
Men kan moeilijk stellen dat het OK is indien het een ander (tijdelijk) groter belang dient.
Dus de plisie mag straks alle rekeningrij-kastjes uitlezen om die moord op die twee kleine meisjes op te lossen ?
De goegemeente staat al te applaudisseren...
Privacy is aan een herdefinitie toe anno 2011, roep ik jaren anders begeven we ons op een hellend vlak en blijkt GO-1984 een Utopia vergeleken bij de werkelijkheid !

Dus aan de bel trekken zoals Merel Koning doet.
07-11-2011, 16:07 door tweaktubbie
Het BoF-riedeltje ken ik onderhand wel. Zolang er nog geen 1 enkel zinnig voorbeeld is van misbruik dmv privacyschending, blijft het bij bangmakerij onder het motto 'het grootste lijden is het lijden dat men vreest'.

Van mij mag je alle GSM-locatielogs en snelwegcamera's koppelen, als je maar enorm goed met mogelijk onschuldige verdachten omgaat. Zelfde als met plicht om encryptiecodes vrij te geven bij versleutelde laptops. Principe moet zijn dat iemand onschuldig is tot tegendeel is bewezen, maar dat diegene ook moet meewerken om aan te tonen dat ie onschuldig is. Simpel gezegd; als m'n fiets gestolen is moet de politie in de achtertuin van de buren kunnen kijken vanaf de straat of ie ergens staat. Van BoF mogen ze niet op de schutting klimmen om te kijken.

Bescherming van privacy en daders lijkt echter nog steeds belangrijker dan dat van slachtoffers of opsporingsmogelijkheden.
07-11-2011, 16:19 door Anoniem
Overigens, het is in sommige situaties legaal om bij iemand in te breken en de kosten daarvoor op de eigenaar van het huis te verhalen. Dit heet "zaakwaarneming". Als jij weet dat je buurman een tijdje weg is en je ziet een achtergelaten huisdier binnen opgesloten dan mag je redelijk stappen ondernemen om het huisdier te redden. Je moet natuurlijk de schade proberen te minimaliseren en redelijk stappen hebben genomen om het op een andere manier op te lossen. Maar het mag wel. En dat is geen privacy schending. (Je moet natuurlijk niet door zijn papieren gaan snuffelen, dan ben je wel de sjaak.)
07-11-2011, 16:25 door Anoniem
Simpel gezegd; als m'n fiets gestolen is moet de politie in de achtertuin van de buren kunnen kijken vanaf de straat of ie ergens staat. Van BoF mogen ze niet op de schutting klimmen om te kijken.

Van jou mogen ze toch ook alleen maar over de schutting kijken? Met jouw opmerking lijk je het ook neit goed te vinden dat de politie over de schutting klimt.

Als de politie over de schutting mag klimmen, is toestemming om in de schuur of de woonkamer te kijken niet ver weg. En als je alleen in de woonkamer mag kijken, net als je alleen over de schutting mocht kijken, dan is de volgende stap ook dichtbij. Dan mag de politie de achterdeur proberen of hij open is. Zo ja, mogen ze naar binnen lopen en rondkijken. En bij de volgende wetswijziging ook alle deuren open maken. En de volgende wetswijziging staat toe om die deuren dan maar gelijk open te breken. Zo'n deur is minder waard dan een fiets en de actie is dus geoorloofd.

Peter
07-11-2011, 19:53 door Anoniem
Peter,

De Politie in Nederland mag niet zonder toestemming van de dienstdoend officier over een schutting klimmen, punt.
In Belgie en Duitsland mag het wel.

Thaddy
07-11-2011, 20:17 door Anoniem
Door Eerde: Ik zie het in een bredere context.
Men kan moeilijk stellen dat het OK is indien het een ander (tijdelijk) groter belang dient.
Dus de plisie mag straks alle rekeningrij-kastjes uitlezen om die moord op die twee kleine meisjes op te lossen ?
De goegemeente staat al te applaudisseren...
Privacy is aan een herdefinitie toe anno 2011, roep ik jaren anders begeven we ons op een hellend vlak en blijkt GO-1984 een Utopia vergeleken bij de werkelijkheid !

Dus aan de bel trekken zoals Merel Koning doet.

Totdat het JOU twee kleine meisjes zijn en dan is vast alles mogelijk. BOF snapt er ook weinig meer van, politie mag niets zolang zijzelf maar het slachtoffer niet zijn.
08-11-2011, 07:20 door Anoniem
Eens met Alex en tweaktubbie; dit is helemaal in lijn met de denktrant van BoF. Laat een rechter de acties van het THTC maar tegen het EVRM aan houden en die belangenafweging maken.
08-11-2011, 09:03 door Anoniem
Ik zie het meer als iemand die geestelijk niet 100% meer is en tegen zichzelf beschermd moet worden. Die kunnen verplicht opgenomen worden. Dit is niet anders, maar dan op IT gebied. Enige riskante deel ervan is..... in welk land bevinden de systemen zich.
08-11-2011, 10:01 door Anoniem
Door tweaktubbie: [/iPrincipe moet zijn dat iemand onschuldig is tot tegendeel is bewezen, maar dat diegene ook moet meewerken om aan te tonen dat ie onschuldig is.

Dit is een "contradictio in termuinus". Als het uitgangspunt is onschuldig tenzij het tegendeel is bewezen, hoef je nooit je onschuld aan te tonen; maar dient de tegenpartij wettig en overtuigend bewijz van schuld te leveren. Op dit principe is het nederlands recht gebaseerd (uitzondeing s de fiscus, waarbij je in sommige gevallen "onschuld" moet aantonen, zgn omgekeerde bewijslast).

Het is trouwens buitebgewoon lastig zoniet onmogelijk een "negatief" te bewijzen
08-11-2011, 10:24 door Anoniem
"De opsporingsmethode die de Nationale Recherche bij de aanpak van bet Bredolab-botnet hanteerde was in strijd met fundamentele mensenrechten en daardoor ongeoorloofd."

Zouden de "slachtoffers" vinden dat hun belangen hier worden behartigd door Bits of Freedom ? En zou ook maar een "slachtoffer" overwegen om aangifte te doen vanwege het "schenden van hun mensenrecht" ?

Verder vraag ik mij af of BoF een moment stilstaat bij de rechten van de daadwerkelijke slachtoffers van botnets, want kennelijk maken ze zich niet druk om de vraag of een zombie PC ddos aanvallen uitvoert, spam verstuurt, of fake banking websites host. Natuurlijk heeft BoF in theorie volstrekt gelijk; in de praktijk kan je je afvragen of het doel de middelen niet rechtvaardigt, en of er sprake is van "slachtoffers" zolang niemand een klacht indient wegens de gehanteerde werkwijze.

Ik zie het in ieder geval niet als mensenrecht om ongevraagd malware op mijn PC geinstalleerd te krijgen, en ik zie het ook niet als schending van mijn rechten wanneer de politie een 'kill' commando stuurt naar malware op mijn PC, zodat ik niet meer geinfecteerd ben, en zodat anderen geen overlast ondervinden van de malware op mijn PC.

Zou Bits of Freedom het ook als schending van mijn rechten zien indien mijn internet provider mijn PC in quarantaine zou zetten wanneer t.g.v. malware een fake banking website op mijn systeem zou draaien, en zo ja, zou Bits of Freedom dan ook stilstaan bij het feit dat zo'n aktie daadwerkelijke slachtoffers voorkomt, wiens bankrekeningen geplunderd zouden kunnen worden ?

Ik heb het idee dat Bits of Freedom steeds korter door de bocht gaat, en niet kijkt naar wat de werkelijke problemen zijn.
08-11-2011, 13:05 door spatieman
Door Anoniem: Peter,

De Politie in Nederland mag niet zonder toestemming van de dienstdoend officier over een schutting klimmen, punt.
In Belgie en Duitsland mag het wel.

Thaddy

inbreker op mijn terrein, dat die maar bewijst dat die van de overheid is..
invullen wat van toepassing wat er gebeurd..
09-11-2011, 13:09 door Dev_Null
Wat een bs-story over ".......fundamentele mensrechten...."
Hier op deze Third_rock_from_the_Sun geldt toch alleen the law of the jungle waar de (technologisch) sterkeren de zwakkere broeders en zusters domineren via Religie, Technology, Science and mindf***ing :-P .
13-11-2011, 10:55 door Anoniem
Als iemand in mijn huis inbreekt en van daaruit op mensen gaat schieten, mag de politie van mij ook inbreken om hem te stoppen. Daarvoor moet dan wel eerst een wettelijke bevoegdheid geregeld worden, want de politie moet zich ook ten alle tijde aan de wet houden. Het lijkt me dat ze die bevoegdheid in het geval van de inbreker wel hebben, maar in het geval van het botnet blijkbaar niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.